Цифрова броня. Як захищатися редакціям

Ілюстрація ІМІ

Чи не щодня ми спостерігаємо кібератаки на редакції медіа та журналістів. Згідно з Барометром свободи слова від ІМІ, за 2023 рік зафіксовано 61 кіберзлочин. Та й нещодавня ганебна історія з прослуховуванням та стеженням за редакцією Bihus.Info ще одне тому підтвердження. 

Через це ми вважаємо за потрібне ще раз наголосити на важливості цифрової безпеки всього колективу редакції. Адже, якщо хтось із працівників вважатиме, що його ніколи не зламають або що він чи вона не роблять нічого секретного для приховування якоїсь інформації, саме вони можуть стати тією слабкою ланкою, щоб дістатися до тих, у кого є щось важливе. 

Окрім цього, хакерські атаки, поширення фейкових новин, кібершпигунство та інші кіберзлочини стають дедалі більш удосконаленими. Редакції повинні бути готові до захисту власних інформаційних ресурсів та персональних даних журналістів.

Чому важливо добре захищатися

• Колектив медіа часто обробляє і зберігає конфіденційну інформацію, стратегічні плани, фінансові дані,  веде листування з джерелами, контактує з людьми на окупованій території тощо. 
• Кіберінциденти, такі як витоки даних чи кібератаки, можуть суттєво підірвати репутацію.
• Коли кіберзагрози призводять до витоку даних чи відключення систем, це може призвести до зупинення роботи.
• Витрати на відновлення даних та інші цифрові збитки можуть бути досить коштовними та не вписуватися в бюджет редакції.
• Кібербулінг може суттєво впливати на продуктивність працівників та сприяти самоцензурі.

Основні кроки для медіаколективів у гарантуванні цифрової безпеки:

1. Сильні паролі. Важливо використовувати сильні паролі для доступу до редакційних систем та особистих облікових засобів журналістів. 

Надійний пароль це:

• Довгий. Складається принаймні з 12 символів.
• Складний. З різноманітними символами, такі як великі та малі літери, цифри та спеціальні символи, а також комбінації цих елементів.
• Без очікуваних слів. Унеможливлене використання очікуваних слів, імен, дат чи інших очевидних комбінацій. Перевага – унікальним та несподіваним комбінаціям символів.
• Відсутність особистих даних. Без використання особистих даних, таких як ім'я, прізвище, дати народження чи інші інформаційні фрагменти, доступні в публічних джерелах.
• Неоднакові паролі. Кожен обліковий запис повинен мати унікальний пароль. Використання одного й того самого пароля для кількох служб може призвести до компрометації всіх облікових записів у разі витоку одного пароля.
• Періодична зміна. Потрібно регулярно змінювати паролі, особливо якщо є підозра щодо можливого доступу сторонніх осіб.
• Використання парольних менеджерів. Використовуйте парольні менеджери для генерації, зберігання та автоматичного заповнення унікальних паролів для різних облікових записів. Але зауважте, що пароль до менеджера паролів має бути надійно захищений.

1. Двофакторна аутентифікація. Двоетапна аутентифікація також є ефективним інструментом для ускладнення доступу несанкціонованих осіб. Найкраще використовувати застосунок для генерування кодів, які дійсні тільки 30 секунд, адже смс можна перехопити. Якщо зловмисник володіє вашим паролем і не має другого аутентифікаційного фактора, він не матиме можливості ввійти у ваш обліковий запис. Навпаки, за наявності лише другого фактора зловмисник не зможе отримати доступ до вашого облікового запису, оскільки йому також потрібно буде дізнатися ваш пароль.
2. Навчання персоналу. Редактори та журналісти повинні бути навчені базових принципів кібербезпеки. Це охоплює усвідомлення ризиків електронної пошти, уникнення підозрілих посилань, фішингу, регулярне оновлення програмного забезпечення тощо. Замовте тренінг для редакції чи зробіть програму навчання для співробітників.
3. Використання захищених каналів зв'язку. Передання чутливої інформації, спілкування з героями чи джерелами має відбуватися через захищені канали зв'язку. Не зайвим є мати й захищений канал для обміну важливою інформацією між журналістами.

Ми радимо пройти аудит з цифрової безпеки, що допоможе виявити ваші слабкі місця та налаштувати додаткові інструменти. Радимо звернутися до Лабораторії цифрової безпеки.